6 April

Zoom раскрывает личные данные пользователей, так как принимает их за работников одной компании

Information SecurityIT-companiesVideo conferencing
imageФото: www.vice.com

Сервис видеоконференций Zoom, против которого выдвинули уже целую серию претензий относительно безопасности данных пользователей, снова оказался в центре внимания СМИ. На этот раз издание Vice обнаружило, что платформа автоматически добавляет своих пользователей в контакты друг к другу и раскрывает их личные данные. Пользователи получают чужие адреса электронной почты, имена, фамилии и фотографии.

Первоначально такая информация поступила от жителей Нидерландов, которые пользуются почтой от местных провайдеров. При регистрации с доменом @xs4all.nl новый участник получил данные 995 других пользователей с аналогичным доменом.

Журналисты российского издания «Ведомости» решили проверить эти данные. Один из них зарегистрировался в Zoom с помощью почты на казахстанском домене yandex.kz. Когда пользователь вошел в систему, ему показали еще 999 других участников платформы с почтой на yandex.kz. В частности, ему открыли их номера телефонов.

Затем эксперимент повторили уже с регистрацией с белорусского домена yandex.by. Результат был аналогичным.

В последующих тестах новый пользователь смог получить данные нескольких десятков человек с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink).

Zoom демонстрировал корректную работу при регистрации с украинского домена yandex.ua, а также альтернативных доменов «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (list.ru, @bk.ru).

Как предположили в статье Vice, сервис может автоматически объединять людей с нестандартными адресами почты как пользователей корпоративной почты в «каталог компании».



При нормальной работе алгоритма пользователь может просмотреть сведения о другом человеке или позвонить ему, только добавив его в контакты по адресу почты или номеру телефона.

Как заявила компания, Zoom ведет черный список «публично доступных доменов», и для них функция каталога недоступна. Этот список включает адреса от Gmail, Yahoo! и Hotmail (Outlook), основные домены Яндекса, Mail.ru и «Рамблера». Но сервис не учитывает того, что некоторые из этих сервисов предлагают выбрать альтернативный бесплатный домен – list.ru от Mail.ru или @ya.ru от Яндекса.

Компания заверила, что уже заблокировала функцию каталогов для проблемных доменов. Их владельцы также могут обратиться в Zoom для добавления в специальный список.

Генеральный директор Zoom Эрик Юань объявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из старых. Среди них – возможность следить за тем, что участники конференции делают на своих устройствах.

Авторы статьи, однако, убедились, что российские адреса продолжают появляться в каталогах и после этого заявления.

В Яндексе пояснили, что Zoom получает только те данные, которые пользователь самостоятельно вводит при регистрации на площадке. Однако компания уже попросила Zoom добавить адреса на доменах yandex.by и yandex.kz в список исключений. Такой же запрос направил и «Эр-телеком холдинг».

Резкий рост популярности сервиса Zoom произошел в марте, когда сотрудников по всему миру стали массово переводить на удаленную работу из-за пандемии коронавируса. В России трафик сервиса вырос в 2-3 раза.
См. также:

Tags:яндекс.почтарамблер.почтапочта mail.ruэр-телекомzoomвидеоконференцсвязьличные данные
Hubs: Information Security IT-companies Video conferencing
+22
9.6k 2
Comments 11